証明書管理の概要
通常、ユーザーはユーザー名とパスワードに基づいてアプリケーションまたはシステムからリソースにアクセスできます。証明書を使用して、さまざまなサーバーとユーザー間のセッションを認証および許可することもできます。セキュア ソケット レイヤー(SSL)接続による証明書ベースの認証は、最もセキュアな認証タイプです。証明書は、スマート カード、USB トークン、またはコンピューターのハード ドライブに保存できます。ユーザーは通常、ユーザー名とパスワードを入力せずにスマート カードをスワイプしてシステムにログインします。
Junos Space ネットワーク管理プラットフォームは、デフォルトのパスワードベース認証モードで提供されます。管理者は、デフォルトの認証情報を使用して Junos Space プラットフォームにログインできます。Junos Space プラットフォームでは、証明書ベースの認証や、Junos Space ネットワーク管理プラットフォーム リリース 15.2R1 以降の X.509 パラメーターベースの認証を使用して、ユーザーを認証することもできます。これらの認証モードは、管理ワークスペースの [アプリケーション設定の変更] ページの [ユーザー] セクションから構成できます。
デフォルトでは、Junos Space Platformは自己署名SSL証明書を使用します。ただし、独自のカスタム証明書を使用する必要がある場合は、カスタム証明書を X.509 または PKCS#12 形式でアップロードできます。完全な証明書検証モードでは、ログイン プロセス中に X.509 証明書全体が検証され、すべてのユーザーのユーザー証明書をアップロードする必要があります。
X.509 パラメーターベース認証では、ログイン プロセス中に検証される 1 ユーザーあたり最大 4 つの X.509 証明書パラメーターを指定できます。X.509 パラメーターベースの認証により、新規ユーザーの証明書を Junos Space プラットフォームにアップロードする必要がなくなります。Junos Space Platform は、ユーザーの作成時にロードされた証明書から、既存ユーザーのパラメーターの値を抽出します。[管理] ワークスペースの [アプリケーション設定の変更] ページの [X509-Certificate-Parameters] セクションで、X.509 証明書パラメーターを定義できます。
一度にサポートされる認証モードは 1 つだけで、選択した認証モードを使用してすべてのユーザーが認証されます。
Junos Space プラットフォームでの認証モード、カスタム Junos Space サーバー証明書、ユーザー証明書、CA(証明機関)証明書、証明書失効リスト(CRL)、証明書の有効期限および無効条件のワークフローについては、以下のセクションを参照してください。
認証モードのワークフロー
さまざまな認証モードの SSL 接続を確立する手順は次のとおりです。
ユーザー名とパスワードベースの認証:
クライアントは、Junos Space サーバーへのアクセスを要求します。
Junos Space サーバーは、その証明書をクライアントに提示します。
クライアントは、サーバーの証明書を検証します。
証明書の検証が成功すると、クライアントはユーザー名とパスワードをサーバーに送信します。
サーバーは、クライアントの資格情報を検証します。
検証が成功すると、サーバーはクライアントから要求された保護リソースへのアクセスを許可します。
証明書ベースの認証:
クライアントは、Junos Space サーバーへのアクセスを要求します。
Junos Space サーバーは、その証明書をクライアントに提示します。
クライアントは、サーバーの証明書を検証します。
証明書の検証が成功した場合、クライアントは証明書をサーバーに送信します。
サーバーは、クライアントの証明書を検証します。
検証が成功すると、サーバーはクライアントから要求された保護リソースへのアクセスを許可します。
検証に失敗した場合、Junos Space Platformはユーザーにログイン失敗ページを表示します。
X509 証明書パラメーターベースの認証:
クライアントは、Junos Space サーバーへのアクセスを要求します。
Junos Space サーバーは、クライアントに X.509 証明書を提示します。
クライアントは、サーバーの X.509 証明書を検証します。
証明書の検証が成功した場合、クライアントは証明書をサーバーに送信します。
サーバーは、クライアントの X.509 証明書から指定された値を抽出し、Junos Space Platform データベースの値を使用して値を検証します。
検証が成功すると、サーバーはクライアントから要求された保護リソースへのアクセスを許可します。
検証に失敗した場合、Junos Space Platformはユーザーにログイン失敗ページを表示します。
完全な証明書ベースまたは証明書パラメーターベースの認証を使用する場合、ログインに使用されるスマート カードまたはセキュア カード(証明書と秘密鍵を含む)がクライアント システムから取り外されるか、または削除された場合、セッションは終了します。
カスタム Junos Space サーバー証明書
デフォルトでは、Junos Spaceネットワーク管理プラットフォームは、自己署名SSL証明書を使用します。ただし、独自のカスタム証明書を使用する必要がある場合は、 管理>プラットフォーム証明書 ページに移動し、プラットフォーム証明書ページでカスタム X.509 または PKCS#12 証明書をアップロードします。
X.509 は、デジタル証明書の定義に広く使用されている標準です。通常、X.509 では、証明書とキーは個別に保存されます。秘密鍵は暗号化または暗号化されません。パスワードは任意ですが、秘密鍵が暗号化されている場合は必須です。
個人情報 Exchange 構文標準(PKCS)#12 形式は、Windows オペレーティング システムのデジタル証明書に広く使用されている形式です。この標準では、ユーザーの秘密鍵、証明書、およびパスワードを 1 つの暗号化可能なファイルに格納または転送するための移植可能な形式を指定します。
カスタム証明書をアップロードする手順については、「 Junos Space サーバーへのカスタム SSL 証明書のインストール」を参照してください。
証明書属性
表 1 は、一般的に証明書に表示される属性を示しています。
証明書属性 |
説明 |
---|---|
|
「OID.1.2.840.113549.1.9.1」は、この署名アルゴリズムを識別するために使用されるASN.1オブジェクト識別子です。「user1@10.205.57.195」は、証明書所有者の電子メール アドレスです。 |
|
証明書所有者の共通名 |
|
証明書所有者が属する組織単位の名前 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書所有者が属する組織 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書所有者の場所 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書所有者の在留状態 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書所有者の居住国 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
「OID.1.2.840.113549.1.9.1」は、この署名アルゴリズムを識別するために使用されるASN.1オブジェクト識別子です。「user1@10.205.57.195」は発行者のメールアドレスです。 |
|
証明書発行者の共通名 これは、システムの IP アドレスです。共通名(CN)は、この証明書の発行者のホスト名と一致する必要があります。一般的に、発行者のホスト名にする必要があります。 |
|
証明書発行者が属する組織単位の名前 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書発行者が属する組織 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書発行者の場所 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書発行者の居住形態 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書発行者の居住国 たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「 |
|
証明書の署名に証明機関が使用するアルゴリズム たとえば、ジュニパーネットワークスが署名した Junos Space ネットワーク管理プラットフォーム SSL 証明書には、この属性の「」を |
|
証明書のシリアル番号 |
|
証明書が有効になる日付 |
|
証明書が無効になる日付 |
ユーザー証明書
証明書ベースの認証モードを使用する場合は、各ユーザーに対して、Junos Space サーバーの対応する証明書をアップロードしてユーザーを認証する必要があります。ユーザーの作成時またはユーザー設定の変更時に、証明書をユーザーに関連付けることができます。既存のユーザーに証明書を関連付けるには、 ロールベースのアクセス コントロール>ユーザー アカウント> [ユーザーの選択] > [ユーザーの変更] ページに移動します。
ユーザー証明書のアップロード手順については、「ユーザー証明書 のアップロード」を参照してください。
CA 証明書と CRL
ユーザー証明書の検証には、証明機関(CA)証明書またはルート証明書が使用されます。ルート証明書の秘密鍵を使用してユーザー証明書に署名し、ルート証明書の信頼性を継承します。
CA によって管理される証明書失効リスト(CRL)は、その CA が期限切れ日より前に発行および取り消した証明書のリストであり、取り消しの理由も含まれます。CA は、さまざまな理由で証明書を取り消すことができます。たとえば、証明書で指定されたユーザーにキーを使用する権限がもうない、証明書に指定されたキーが侵害された、別の証明書が現在の証明書に置き換えられるなどです。
CA 証明書または CRL のアップロード手順については、「 CA 証明書および証明書失効リストのアップロード」を参照してください。
ユーザー認証モードの変更
認証モードは、Junos Space ユーザー インターフェイスまたは VIP ノードの CLI から、ユーザー名とパスワードベースから証明書ベースまたは X.509 証明書パラメーターに変更できます。認証モードを変更する前に、証明機関(CA)証明書と個人またはユーザー証明書(Junos Space サーバー証明書はオプション)を Junos Space サーバーにアップロードする必要があります。Junos Space プラットフォームでは、すべての証明書がアップロードされる前に検証されます。無効または不正な形式の証明書はアップロードされません。
認証モードが変更されると、認証モードを変更している現在の管理者を除くすべての既存のユーザー セッションが自動的に終了し、ユーザーは強制的にログアウトされます。認証モードから別の認証モードに切り替えた場合、Junos Spaceプラットフォームを再起動する必要はありません。
認証モードの変更手順については、「 ユーザー認証モードの変更」を参照してください。
証明書の期限切れ
X.509 Junos Space サーバー証明書が現在の日付から 30 日以内に期限切れになる予定の場合、管理者がログインするたびに警告メッセージが表示されます。例えば:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
管理者は、次のいずれかのアクションを実行します。
新しい証明書のアップロード — [ 管理>プラットフォーム証明書 ] を選択し、[証明書のアップロード] 領域から証明書をアップロードします。Junos Space Platform は古いユーザー証明書を削除し、新しくアップロードされた証明書の使用を開始します。
デフォルト証明書を使用する — [ 管理>プラットフォーム証明書 を選択し、[現在のプラットフォーム証明書] 領域の [デフォルト証明書を使用 ] をクリックします。
X.509 Junos Space サーバー証明書の有効期限が 1 日でスケジュールされると、Junos Space プラットフォームはデフォルトの自己署名証明書を使用して開始します。インストール時に作成された自己署名Junos SpaceプラットフォームSSL証明書は、5年間有効です。
ユーザー証明書の有効期限が現在の日付から 30 日以内にスケジュールされている場合、ユーザーが認定資格ベースの認証モードを使用してログインした場合、Junos Space Platform は警告メッセージを表示します。詳細については、「 ユーザー証明書のアップロード」を参照してください。
無効なユーザー証明書
次の理由により、ユーザー証明書が無効になる可能性があります。
証明書の有効期限が切れています。
証明書の有効期限は 1 日以内です。
証明書は後から有効になります。
証明書が秘密鍵と一致しない。
証明書または秘密鍵ファイルが壊れています。
Junos Space サーバーに同じ証明書が存在します。
ユーザーが無効な証明書または期限切れ証明書を使用してログインしようとすると、Junos Space Platform にログインエラー ページが表示され、次のエラー メッセージ No user mapped for this certificate
が表示されます。